Controltotal

From Hack Story

ControlTotal fue uno de los primeros troyanos escritos en castellano y el primero comercial en este idioma, para el sistema operativo Windows. Su autor fue Pele, quien entre 1999 y 2002 programó también otros troyanos, siendo el más famoso ControlTotal, que dio nombre al proyecto y la página web.

Pele se apasionó por la informática a los 12 años y a los 16 montó su primer negocio en Internet: una web pornográfica. En 1999, con 19 años, su segundo negocio era la venta de juegos y programas pirateados en el instituto. Paralelamente, se aficionó a la programación y, viendo que no había prácticamente programas de hacking en castellano, decidió escribirlos, especializándose en los troyanos.

Además de ControlTotal, Pele escribió Teclas (un keylogger), MiraPuertos (escaner de puertos), MiraProgramas (ver cuáles están en ejecución y poder cerrarlos), InetInfo (robaba datos, como contraseñas) y Web Serve CT, un troyano que montaba un servidor web en el ordenador de la víctima y permitía explorar sus discos duros.

ControlTotal fue su creación más ambiciosa, con la que quería superar al famoso Back Orifice. Realizaba multitud de acciones en el ordenador infectado: acceder a los discos duros, capturar y controlar la pantalla remota, modificar el registro del sistema operativo Windows, abrir y cerrar la bandeja del CD, esconder la barra de tareas, bloquear el ratón... hasta 100, que aseguraban el control total, como su nombre indicaba, del ordenador de la víctima.

Control de mandos de ControlTotal

Pele decidió venderlo por 1.000 pesetas pero, cuando le empezaron a llegar cientos de peticiones, hasta 2.000, se vio desbordado y cerró la web.

Reproducimos a continuación, sin cambiar ni una coma, la apasionante narración de la historia de ControlTotal, que nos ha hecho llegar Pele:

Pornografía a los 16

Empece clases extraescolares de informática en 1992, con unas máquinas 386 y MS-DOS 5, poco después se lanzaría Windows 3.11 que es el primer Windows que recuerdo. Tenía 12 años y ya era un apasionado de la informática.

En el 95 descubrí Internet y accedí a mis primeros documentos del mundo hacker, me enganché. Tanto que al año siguiente tuve problemas. Por aquel entonces no existía la tarifa plana, y la factura telefónica algún mes había superado las 50 mil pelas, un dineral para la época que a mis padres no les hacía ninguna gracia pagar. Para remediarlo, intenté ganar dinero mientras aprendía y, por aquellas épocas, los más rentable era la publicidad porno. En el 96 cree mi primera página web: una web porno. Mis padres siempre me han dado mucha confianza y eso me permitió explicarles el proyecto abiertamente, que aún no tenia ni nombre. Recuerdo a mi madre diciendo “todo esto son marranadas!”... y así es como ella bautizo mi primera web: marranadas.com.

Como todas las webs porno del momento, la página inicial contenía la mítica frase de advertencia “web para mayores de 18 años”... me hacía cierta gracia al pensar que su webmaster tenía 16...

A partir de entonces, cada mes llegaban cheques, principalmente de Las Vegas, con cantidades desde los 150 hasta los 300$. Esto me permitió hacerme cargo de la mayoría del gasto telefónico y fue como aprendí HTML... hasta que por fin Retevisión lazó su Tarifa Plana, todavía recuerdo con emoción el anuncio en la TV, rompiendo las cadenas y con la canción de 500 miles de The Proclaimers...

Mis influencias principales en el mundo hacker fueron 4: el maravilloso ezine SET, el gran Fer (el Salteador de la Web), y las míticas Isla Tortuga y Taberna de Van Hackez. Recuerdo imprimir cientos de hojas, y leer, leer y leer mucho, estaba muy enganchado y admiraba el trabajo de todos aquellos cracks. También recuerdo por aquella época haber visto la película de Hackers que, aun con las flipadas habituales de las pelis, esa contenía muchas cosas ciertas, reales... no se si la Angelina tubo algo que ver, pero yo ya lo tenía claro, me iba a convertir en un hacker.

En el año 99 estudiaba programación, un módulo de grado superior de tres años en un instituto privado de Barcelona, con unos profesores muy buenos. Por aquel entonces, había sustituido el negocio de la web porno por el de las “copias de seguridad” de CD's. Suministraba de todo a mis compañeros de clase y a los de otros cursos, juegos de la primera PS, música, todos los programas de desarrollo que usábamos en el instituto... Y allí, en el instituto, descubrí el Netbus. Como me moló aquello de controlar las máquinas a distancia. Luego también descubrí el Backorifice. Pero con el Netbus yo ya estaba cautivado.

Por aquel entonces, en la Red apenas había herramientas de hacking en castellano, casi todo estaba en inglés. Y la mayoría del material de e-zines estaba enfocado desde el punto de vista de los SysAdmin, el desarrollo era poco más que algún exploit, o fragmentos en C o ensamblador. Yo no tenía nivel para hacer eso, apenas estaba descubriendo el mundo Unix, con System V y estaba aprendiendo C en el maravilloso TurboC. Pero sí conocía Visual Basic, un lenguaje considerado de segunda pero que, si se conjuntaba con la API de Windows, podías hacer casi cualquier cosa.

Así decidí que dedicaría mi tiempo libre a hacer programas de hacking, principalmente troyanos, y a animar a la gente a programar e iniciarse en este mundillo, compartiendo mi aprendizaje desde mi web. Nació el proyecto ControlTotal.

La web, más o menos estuvo activa, y pasando por unas 3 versiones principales, desde 1998 hasta 2002. Después de pasar por varios servidores free, se estabilizo en el año 2000 bajo el dominio de controltotal.org y hasta el final de sus días.

Hacking en castellano

El ControlTotal fue un troyano con una historia un tanto particular. Que luego contaré.

Además del troyano ControlTotal, el proyecto abarcó principalmente dos ámbitos, por un lado se desarrollaron varias herramientas que se podían combinar con el troyano principal o funcionar por separado. Por otro lado se pretendió divulgar, desde el punto de vista de la programación y otros sistemas distintos de Windows. La sección de Visual Basic contenía cientos de ejemplos y códigos, también había una sección de Linux, otra de BeOS... y distintos artículos como el de “¿Empezamos a programar?”.

Desarrollos principales:

- Teclas: un keylogger. Existieron dos versiones principales, la primera era para recoger el fichero de logs de manera manual o en combinación con el ControlTotal, la segunda funcionaba de manera independiente enviando los ficheros de logs al email indicado.

- Web Serve CT: un troyano que montaba un servidor web en la máquina remota, permitía explorar los discos duros de la víctima usando un simple navegador web. Tubo 3 versiones principales, la primera más limitada y las otras dos ya pensadas para funcionar como troyanos independientes, añadiendo varias acciones de control y sistemas de infectar.

Varias herramientas secundarias, destacando:

- InetInfo: generaba un fichero de texto con los datos de todas las cuentas, incluyendo contraseñas, que encontraba de: correo, icq, sistema, acceso telefónico a redes...

El 7-11-00 La Taberna de Van Hackez destacaba la aparición de la segunda versión del Web Serve CT

- MiraProgramas: listaba los programas en ejecución y permitía finalizarlos, mejor que el propio de Windows 98...

- MiraPuertos: un sencillo scanner de puertos, local y remoto

Todas estas herramientas fueron desarrolladas entre el 1999 y el 2002, estuvieron publicadas en mi web, incluyendo el código fuente de todas ellas. Se extendieron y replicaron por varias webs incluyendo una que me hizo mucha ilusión: La Taberna de Van Hackez. Uno de mis referentes colgaba mis trabajos en su web, fue genial.

No tuve relación con otras comunidades ni participé en ningún e-zine. Nos intercambiamos varios emails con el señor Van Hackez, así como con otros personajes que fui conociendo, pero todo el trabajo y todas las herramientas las desarrollé yo, con alguna ayuda puntual de algún compañero o profesor del Instituto y algún conocido virtual que me hacía de betatester.

ControlTotal

Y ahora, la historia, un tanto particular, del proyecto principal, el troyano ControlTotal.

Fue un proyecto muy ambicioso que pretendía superar al mismo Backorifice en cuanto a número de acciones. Llegó a tener cerca de 100, permitiendo controlar el 100% de la máquina remota: acceder a los discos duros, capturar y controlar la pantalla remota (estilo VNC), modificar el registro de windows... y cosas simpáticas como abrir y cerrar la bandeja del CD, esconder la barra de tareas, bloquear el ratón... y así, hasta 100 acciones.

Tubo 4 betas y la versión final nunca llegó a lanzarse, bueno, sí, pero solo un poco...

Un troyano, en su parte de Servidor, consta de dos partes principales, por un lado todo lo que tiene que ver con las acciones que permite y por otro lado, las técnicas que realiza de ocultación, infección, replicación, comunicación con la máquina de control, envío programado de datos... o sea, la parte que lo diferencia de un simple programa de control remoto y lo convierte en un troyano como tal.

Mientras lo estaba desarrollando, y a su vez iba desarrollando otras herramientas de la familia, lancé las diferentes betas con los servidores que no infectaban. Simplemente para que la gente lo viera, jugara con él, diera su opinión... pero no eran troyanos funcionales, no infectaban y debían activarse manualmente.

En ese tiempo observé como, sistemáticamente, tanto el Netbus como el Backorifice y otros, al día siguiente de sacar nueva versión, eran detectados por los antivirus.

Igualmente, mi troyano funcional, el Web Serve CT, así como el keylogger, el Teclas, e incluso las inofensivas Betas del ControlTotal, también eran detectadas pos los antivirus.

Esto era un problema. Yo no quería eso para mi mayor creación.

En este tiempo había desarrollado el Cliente y 5 tipos de Servidor. Básicamente permitían las mismas acciones y variaba el método de infección. Había un troyano de tamaño y acciones reducidas, otro adaptado a Windows NT, otro adaptado a redes locales y dos que enviaban la IP de la víctima, o vía email o vía IRC. No tenía un Editor pensado, y a cada troyano había que configurarlo a mano con los datos de retorno.

Observé como, después de compilar de nuevo, aunque fuera modificando una simple coma, el binario generado ya no era detectado por los antivirus. Funcionaban por firmas.

A nivel personal, estaba absorbido por el proyecto, durante un tiempo dejé de ir al Instituto y ya vi claro que me tocaría repetir el segundo curso. Era un Instituto de pago o sea que estaba tirando el dinero, eso no podía ser.

Entonces, se me ocurrió una forma de arreglar todos mis problemas: vender el ControlTotal por 1000 pelas o 10$. Esto lo arreglaba todo:

Antivirus: cada usuario tendría su compilación a medida, con lo cual, el sistema de firmas estaba totalmente burlado.

Adaptación: no recuerdo cuanto, pero tardaba un rato en completar un pedido, había que compilar 5 troyanos, empaquetarlos, trocear el archivo resultante en tres trozos porqué no cabía todo en un email, enviar los tres emails al cliente... si cobraba por todo esto salía algo rentable.

Dinero: no pretendía hacer mucho dinero, simplemente ayudar a pagarme los estudios con ello y recuperar un poco el tiempo invertido y dejado de invertir en la escuela.

Con esto, pensé que solucionaba mis problemas, por un lado el ControlTotal era inmune a los antivirus y por el otro ganaba algo de dinero que me permitía hacer esto rentable.

Todo esto, hoy en día, se hace desde Rusia, China... con otro espíritu, otras motivaciones y bastante más dinero por el medio...

Ahora es el momento de resaltar el espíritu romántico de todo esto, que todavía pervivía por aquellos años. Yo no se si era un Hacker, pero lo que sí es seguro, es que nunca fui un Cracker. Nunca invadí ningún sistema, ni espié a nadie, ni hice nada ilegal con mi software. Tenía 20 años, y todo aquello era una gran diversión, controlar máquinas a distancia, hacer bromas a amigos y compañeros de clase, ver las caras de diversión, de admiración... aquello me llenaba, era divertido, y pensé que no hacía daño a nadie. Ni tan siquiera había previsto las consecuencias de aquello, tenía un problema de falta de tiempo y dinero y así lo solucionaba y podía seguir con todo ello.

No recuerdo exactamente cuantas versiones vendí, unas decenas no más.

Morir de éxito

Aquello me estalló en la cara. No se si fue en cuestión de días, o de pocas semanas, pero se me acumularon más de 500 pedidos, me era imposible de atender. Se necesitaba un tiempo para preparar un pedido, no estaba nada automatizado, y era insostenible.

Avisé a la gente y tumbé la web para que no entraran más pedidos. Aquello era una locura. Cada vez estaba más y más metido, apenas dormía. Ahora el objetivo era hacer un Editor que permitiera automatizar al máximo todas las tareas, industrializarlo vaya. Cosa que me gustaba, que tuviera éxito, pero que me deba cierto miedo, porqué aquello superaba de mucho mis pocas previsiones.

Abrí de nuevo la web con algunas mejoras y envié algunos pedidos más, con un sistema semi automatizado, que seguía sin ser el óptimo. Se me acumularon cerca de 2000 pedidos en total. Volví a tumbar la web. Seguía siendo insostenible.

Decidí centrarme en el Editor y no volver a enviar ningún pedido hasta tenerlo todo automatizado. Aquello era agobiante.

Estuve unos pocos meses desarrollando el sistema de distribución, junto con el Editor, durante ese tiempo me pasaron varias cosas y, cuando ya casi lo tenía todo listo...

Me asusté. A mi siempre me ha gustado el anonimato, y por culpa del ControlTotal, lo estaba perdiendo...

Tuve varias anécdotas, casi todas positivas, pero que daban que pensar. También tuve alguna experiencia negativa.

Una vez, me llaman a casa, sabia que tarde o temprano pasaría, antes los Whois no permetian ocultar teléfonos, había varias formas de obtenerlos. Se me identifica un empleado de una reconocida casa Antivirus, un chico con acento francés, que le disculpara por llamarme, que admiraba y conocía mis trabajos, y que si le podía ayudar con un cruce que tenía con uno de mis programas y no se que rollo. Recuerdo que intercambiamos algún email, era un tipo simpático, pero esto de que me llamaran a casa...

Hice varias reuniones, tampoco muchas, con empresarios interesados en conocerme y/o contratarme. Tampoco contaba con ello, pero ocurrió. La reunión que recuerdo más impactante fue en un hotel caro de Barcelona, recuerdo que era caro porqué el café con leche que tomé costaba 4 o 5 veces lo que costaba en un bar normal, menos mal que me invitaron. La relación no llevó a nada pero me permitió observar otro mundo, el tipo era un cincuentón, propietario de un ISP importante, tenía pasta, estaba en el hotel con la secretaria/amante 20 años más joven... en fin, fue algo curioso para mi en esos años.

En ese momento, pensaba que mi ControlTotal, y mi Web Serve CT, eran los primeros troyanos en castellano. Y así lo resalté en mi web claramente con el subtitulo “el primer troyano en castellano”, desde hacía ya tiempo. Por aquel entonces, me hablaron del PTAKKS, un troyano que creo que hicieron unos chicos valencianos (no estoy seguro) Xan & Quo Vadis. Se atribuían el título de “primer troyano en español”. Era distinto al mio, más sencillo, permitía menos acciones y creo que usaba el protocolo UDP. Las primeras referencias que obtuve de ellos eran del año 2000, yo ya tenía cosas colgadas en el año 99, por lo que siempre consideré que mis trabajos fueron primero. Aún así, si soy sincero, no se si ellos tenían algo colgado en el 99, y no voy a pelearme por eso, por tanto, si nadie dice lo contrario, sin importar el orden, el Web Serve CT, el Ptakks y el ControlTotal, son los primeros troyanos en castellano/español conocidos.

Los riesgos de fabricar... pistolas

La cosa ya empezó a ir mal del todo, a partir de artículos como este: Marketing Mercenario

Su autora había participado en distintos medios, incluido TV, la recuerdo en algún programa de Redes de aquella época, era considerada una entendida y parecía tener contactos.

Ese artículo me hizo reflexionar mucho, contiene una parte halagadora:

Las estrellas de este firmamento de herramientas del cotilleo profesional son: NetBus, Back Orifice, ICQtrogen, PWSteal, PrettyPark, Sun Seven, Bionet,... aunque en el mundo hispano se ha puesto de moda el denominado Controltotal, desde cuya web (http://www.controltotal.org) se da un cursillo detallado de cómo violar la privacidad de las telecomunicaciones.

Para un chico anónimo de apenas 21 años, que te pongan a la altura de la élite.... mola. Lo que no me moló tanto fue lo siguiente:

Ignoro el componente delictivo de tal incitación pero sin duda desde el punto de vista ético, al menos, si que podría estar justificado trasladar al autor de esa cosa el perjuicio económico y moral que nos pueda ocasionar el uso de su obra por parte de nuestros competidores y exigirle responsabilidades.

Me dejó preocupado. El tema legal, sabía que si un fabricante de armas no se hacía responsable de las muertes cometidas con sus “productos”, era absurdo que a mi me culparan por el uso que otras personas hicieran de mi software.

Estuve investigando, y creí que sí, efectivamente, se cometieron delitos con mi software. Eso no me gustó. Aunque pueda parecer absurdo, en esa época las cosas no son como ahora, pero la mercantilización ya empezaba a aparecer.

Tuve varias propuestas de cosas ilegales... todo esto ya fue la puntilla que lo mató todo.

Para quitarme el miedo, me fui a hablar con el abogado crack de estos temas, el Sr. Almeida, le comenté todo y me dijo que lo único ilegal era a nivel fiscal, cobrar sin tener una empresa o ser autónomo. Del resto, no me debía preocupar. Que no hiciera yo directamente ninguna acción ilegal y listo.

A todo esto, mi web fue hackeada, supongo que por alguien que me había pagado y hacía un montón de tiempo que esperaba recibir el troyano.

Llegué al límite. Sabía que mis trabajos tenían usos que no me gustaban, sabía que había gente con mas o menos influencia que podía buscarme problemas, no podía seguir cobrando y vendiendo troyanos sin por lo menos hacerme autónomo, o por ahí podían pillarme, si hacemos números, vendía el troyano por 1000 pelas y tenía cerca de 2000 pedidos esperando...

Yo no quería montar una empresa, ni hacerme autónomo ni nada, estaba repitiendo segundo curso, apenas llevaba dos años programando y tenía muchísimo por aprender. Todo aquello me desbordó. Incluso tuve unos días de paranoia que pensé que me espiaban las comunicaciones, me imaginaba un montón de polis entrando en casa y llevándose mis máquinas... lo había visto en pelis, lo había visto y leído en casos no muy lejanos en espacio y tiempo... me imaginaba la cara de mis padres si esto pasaba... no lo pasé bien.

Y así es como decidí terminar mi época de hacker... por lo menos de manera pública.

Corté por lo sano, hice copia de todo el proyecto en varios CD's, los escondí, formateé y eliminé de forma segura los datos de los discos duros, y empecé una vida nueva, centrada en estudiar y aprender, y lejos de todas las complicaciones que me había buscado.

Lo más doloroso, y que todavía me jode al recordarlo, es que, sin querer, engañé a gente. A parte de las esperas, y pedidos no completados, hubo un grupo de entre 10 y 20 personas que me pagaron y no recibieron el troyano. Sin querer, las timé.

Envié algún troyano más a un grupo reducido y finalmente dejé el proyecto. Se me mezclaron los pagos, los emails, recuerdo que pillé un virus (de tanto jugar con ellos...), en ese caos hubo un grupo de gente que se me traspapeló y se me perdió por el camino. Me gustaría pedirles perdón, no fue mi intención hacerles eso, y cada vez que recuerdo esa época me siento mal por ello. Si alguno de ellos me lee, lo siento, no supe gestionarlo mejor y, si te has leído todo este rollo, verás que la cosa me desbordó por completo. 1000 pelas, o 10$ porque también había algún compañero sudamericano, no es una gran estafa, pero no es el valor total, sino el hecho haberlos engañado y no cumplir con mi palabra. Lo siento.

Por todo esto, el último año lo recuerdo con cierta angustia, pero si miro algo más atrás, aprendí mucho con todo aquello, fueron muchas experiencias interesantes y, sin establecer muchos contactos permanentes, conocí a bastante gente de muchos y variados ámbitos.

Esta es mi historia en el mundo hacker, y la historia del ControlTotal.^[1]

Nota de Hackstory: por la extensión del documento, hemos creído conveniente no presentarlo con el formato de cita, que empequeñece el texto y podría dificultar una lectura tan larga

Notas

1. ↑ Pele, en conversación privada

Enlaces externos

• Trojan: Control total. Un caballo de Troya en español. VSAntivirus (26-11-00)
• Trojan: Web Serve 2. Primer Web/trojan en español. VSAntivirus (30-11-00)
• Bck/ControlTotal. Enciclopedia de virus. Panda Security.
• Bck/WebSrv.CT2. Enciclopedia de virus. Panda Security.
• Troyanos
• PTAKKS. Xan & QuoVadis 2000.